不好意思 小弟想请教各位前辈一下
因为小弟有在几台重要的 FileServer 启用了 Volume Shadow Copy Service
(磁盘区阴影复制服务)
所以几个重要分享槽 可以随时复原回 shadow copy 的时段
但是因为还没有使用分享槽中毒的案例发生
(目前的案例都是笔电、PC自己的local 槽被加密)
小弟也不确定 如果真的发生文件加密了 是否能从shadow copy 的过去版本捞回资料?
(病毒应该不会强大到连过去板本也加密吧?)
请问一下板上的前辈们 是否有使用 shadow copy 的服务
成功在勒索病毒的攻击下 救回资料呢?
感谢大家
※ 引述《kujo (Pisces)》之铭言:
: ※ 引述《rock5101437 (Ketrich)》之铭言:
: : 从今年ㄧ月计算至今,我已经处理了7次的勒索病毒案件,各位大大有没有今年还没处理
: : 过的呀
: : 这种勒索病毒有潜伏期,有没有什么方式能知道厂内还有哪些电脑是已中镖但尚未爆发的
: : 可以分享ㄧ下治毒之道吗QQ
: 呃, 我这应该算案件交流....
: 我们厂内第一笔勒索病毒是在去年年底
: 还是我们MIS team内同仁先中的....XDDD
: 到目前为止陆陆续续已经有九例的案子
: 但在厂内发生的大概有五例
: 其他四个是出差或在家用时中的 (NB使用者)
: 目前已知来源就是
: 1. mail
: - mail的部份, 点开来就会自动执行和从网络上下载其他程式
: 且反查DNS的记录也没用, 因为它们的资料都是伪造或失效的
: - 基本上Firewall和IPS 都是无法做有效隔绝
: - Mail SPAM的防毒功能大概只能隔绝90%的病毒信件, 几乎每天都有一堆病毒信
: - 防毒嘛...我家OA是用Microsoft的防毒, 效果大家都知道, 但现在有侦测通知
: - 基本上有通知, 我们第一线就叩user 拔网络线了
: - 拔完再过去看灾情
: - 若没救的, 我们就直接告诉user要格式化重做系统
: - 如果是主管阶级的, 还是看一下有没有资料可以救, 能救还是要救
: 2. 网页上的Link或广告
: - 这部份user的回复几乎都是没有点或滑过去, 防毒就跳出Alert了
: - 这个是比较大的潜在危机, 虽然我们已经有过滤一堆网站了
: 但还是有使用者透过网站感染, 而且使用者行为我们无法预期
: - 如mail的处理方式, 如果看到Alert, 就叩使用者拔网络
: 不过, 有的Alert是使用者在家使用的记录, 等上班到公司再看到时
: 已经是没救了........XDDDDD
: 我们现在厂内的做法是持续每周公告, 请使用者避免点来路不明的mail
: 网站的部份也只能请使用者上班时间避免看其他与工作无相关的网站
: 最后, 告诉使用者如果感染病毒, MIS和公司也不会付钱赎回资料
: 请使用者将公司的资料, 尽量放在公司的公用磁盘机上
: 我的想法是这类型的病毒, 只能跟使用者不断教育
: 让他们的使用者行为有所调整, 才是根本的做法
: 否则, 现行的种类变化很快
: 防毒软件和所谓的沙箱软件还是有其一定的防护限制